Resumo Executivo

Este relatório investiga um padrão generalizado e coordenado de farming de memecoins na Solana, onde os deployers de tokens financiam wallets de sniper que compram seus tokens no mesmo bloco em que o token é lançado. Isolamos um subconjunto de comportamento extrativo de alta confiança, focando em links de financiamento claros e comprováveis entre deployers e snipers.

Nossa análise revela que essa tática não é rara ou marginal - apenas no último mês, mais de 15.000 SOL em lucro realizado foram extraídos por meio desse método, em mais de 15.000 lançamentos envolvendo mais de 4.600 carteiras de sniper e mais de 10.400 implantadores. Essas carteiras demonstram taxas de sucesso incomumente altas (87% dos snipes foram lucrativos), saídas limpas e padrões operacionais estruturados.

Principais conclusões incluem:

• O sniping financiado pelo implementador é sistemático, lucrativo e muitas vezes automatizado, com atividades de sniping concentradas durante o horário comercial dos EUA.
• As estruturas de farming de várias carteiras são comuns, frequentemente usando carteiras temporárias e saídas coordenadas para simular a demanda real.
• Táticas de obfuscação, como cadeias de financiamento multi-hop e transações de sniping multi-signer, estão sendo cada vez mais utilizadas para evitar detecção.
• Apesar das suas limitações, o nosso filtro de financiamento de um salto revela os exemplos mais claros e repetíveis de atividade no estilo insider em grande escala.

Este relatório também propõe um conjunto de heurísticas acionáveis que podem ajudar as equipas de protocolos e frontends a identificar, sinalizar e responder a esta classe de atividade em tempo real — incluindo o rastreamento da concentração inicial de titulares, a rotulagem de carteiras vinculadas ao implementador e a emissão de avisos no frontend para lançamentos de alto risco.

Embora nossa análise capture apenas um subconjunto de todos os comportamentos de sniping no mesmo bloco, a escala, estrutura e lucratividade desses padrões sugerem que os lançamentos de tokens na Solana estão sendo ativamente manipulados por redes de atores coordenados - e as defesas atuais são insuficientes.

Metodologia

Esta análise começou com um objetivo focado: identificar carteiras e comportamentos indicativos de cultivo coordenado de memecoin na Solana - particularmente casos em que os criadores de tokens financiam carteiras de sniping no mesmo bloco em que o token é lançado.

Dividimos o problema em várias etapas:

1. Filtragem para Snipes no Mesmo Bloco

Primeiro isolámos tokens que foram 'sniped' no mesmo bloco em que foram implementados. Este comportamento é extremamente improvável de ser orgânico devido a:

• A falta de uma mempool global na Solana
• Consciência necessária do token antes de aparecer num frontend público
• Restrições de tempo entre a implementação do token e a primeira interação DEX

Same-block snipes foram usados como um filtro de alto sinal para detetar potencial colusão ou atividade privilegiada.

2. Identificar Carteiras Ligadas ao Implementador

Para distinguir entre atiradores de elite e insiders coordenados, rastreamos transferências de SOL entre implantadores e atiradores antes de cada lançamento de token. Identificamos carteiras que:

• Recebi SOL diretamente do implementador
• Enviado SOL para o implementador

Apenas carteiras com transferências pré-ataque direto entre o sniper e o implementador foram incluídas no conjunto de dados final.

3. Ligação de Snipes ao Lucro do Token

Mapeamos a atividade de negociação de cada carteira de atirador para os tokens que eles atiraram. Especificamente, calculamos:

• Quantidade total de SOL gasta na aquisição do token
• Quantidade total de SOL recebida pela venda na DEX
• Lucro líquido realizado, não apenas ganhos notacionais

Isso nos permitiu atribuir lucro exato extraído de cada snipe vinculado ao deployer.

4. Escala de Medição e Comportamento da Carteira

Analisamos o âmbito desta atividade em várias vertentes:

• Número de implementadores únicos e carteiras de atirador
• Número total de snipes conluio confirmados no mesmo bloco
• Distribuição dos lucros do sniper
• Número de tokens lançados por implementador
• Reutilização de carteiras de sniper entre tokens

5. Rastreamento de Atividade do Bot

Para entender como essas operações estavam sendo executadas, agrupamos a atividade de sniping por hora do dia (UTC). Isso revelou padrões fortes de horário do dia:

• Atividade concentrada em janelas de tempo específicas
• Quedas durante as horas tardias do UTC
• Sugerindo tarefas agendadas alinhadas com os EUA ou janelas de execução manual, em vez de automação global ou contínua.

6. Análise do Comportamento de Saída

Finalmente, examinamos como as carteiras vinculadas ao deployer saíram de suas posições de token sniped—tanto em termos de duração da retenção quanto do número de negociações usadas para desfazer sua posição.

• Medimos o tempo decorrido entre a primeira compra e a última venda (duração da retenção).
• Contámos o número de transações de venda distintas (trocas) por carteira por token.

Isso nos ajudou a identificar se as carteiras buscavam liquidação rápida ou estratégias de venda mais gradual, e em que medida a velocidade de saída se correlacionava com a lucratividade.

Visando as Ameaças Mais Claras

Como primeiro passo, medimos a escala de sniping no mesmo bloco em todapump.funlançamentos. O que descobrimos foi surpreendente: mais de 50% dos tokens são agora snipados no bloco exato em que são criados - antes que pudessem ser razoavelmente descobertos através de RPCs públicos ou frontends. O sniping no mesmo bloco já não é um caso raro; é o padrão de lançamento dominante.

Este comportamento é inerentemente suspeito. Na Solana, a participação no mesmo bloco normalmente requer:

• Transações pré-assinadas
• Coordenação fora da cadeia
• Ou uma infraestrutura partilhada entre o implementador e o comprador

Mas é importante observar que nem todos os snipers do mesmo bloco são igualmente maliciosos. Existem pelo menos duas categorias de atores:

• Bots de spray-and-pray, provavelmente testando heurísticas ou espalhando pó
• Insiders coordenados, incluindo financiadores que financiam seus próprios compradores

Para reduzir falsos positivos e identificar verdadeira coordenação, introduzimos um filtro rigoroso nas nossas métricas finais de atividade: Apenas incluímos snipes onde houve uma transferência direta de SOL entre o implantador e a carteira de sniping antes do lançamento do token.

Esta abordagem permite-nos identificar com confiança as carteiras que são:

• Controlado diretamente pelo implementador
• Agindo sob a direção do implementador
• Privilegiado com acesso privilegiado

Estudo de caso 1: Financiamento direto (Apanhado pela nossa Metodologia)

Neste caso, a carteira do implementador 8qUXz3xyx7dtctmjQnXZDWKsWPWSfFnnfwhVtK2jsELE enviou 1,2 SOL através de três carteiras separadas. Podesver a entidade em Arkham aqui. Em seguida, implantou um token chamado SOL>BNB. As três carteiras financiadas sniped o token no mesmo bloco em que foi criado, garantindo acesso antecipado antes que fosse visível para o mercado em geral.

Estas carteiras venderam rapidamente as suas alocações com lucro, executando saídas rápidas e coordenadas. Este é um exemplo clássico de criação de tokens através de carteiras sniper pré-financiadas, e foi diretamente detetado pelo nosso método de deteção baseado em financiamento. Apesar da sua simplicidade, este tipo de operação está a ser executado em grande escala em milhares de lançamentos.

Estudo de caso 2: Financiamento Multi-Hop (Perdido pela Nossa Metodologia)

Neste caso, a carteira GQZLghNrW9NjmJf8gy8iQ4xTJFW4ugqNpH3rJTdqY5kA foi associada a vários token snipers. Em vez de financiar diretamente as carteiras dos snipers, esta entidade encaminha SOL através de uma série de carteiras intermediárias - frequentemente 5 a 7 saltos de profundidade - antes de a carteira final executar o snipe no mesmo bloco.

A nossa metodologia atual, que se concentra em ligações de financiamento direto, foi capaz de detetar algumas das transferências iniciais do implementador, mas não capturou toda a cadeia que levou aos snipers finais. Estas carteiras intermediárias são normalmente usadas apenas uma vez, servindo apenas para passar por SOL, o que as torna desafiadoras de ligar através de consultas diretas.

Este padrão não foi negligenciado devido a limitações de design, mas sim a uma compensação computacional. Rastrear caminhos de financiamento através de múltiplos saltos com restrições temporais é tecnicamente viável, mas intensivo em recursos em grande escala. Como resultado, nossa implementação atual prioriza ligações diretas de alta confiança para clareza e reprodutibilidade.

Para visualizar esta cadeia de financiamento mais ampla, utilizamosFerramenta de Visualização do Arkham, que representa graficamente o fluxo de fundos da carteira de financiamento inicial através da cadeia de carteiras de casca até a carteira de implantação final. Este auxílio visual destaca os métodos sofisticados utilizados para ofuscar a origem dos fundos e destaca áreas para futuras melhorias em nossas metodologias de detecção.

Porque nos concentramos em Snipers diretos financiados no mesmo bloco

Para o resto deste documento, focamo-nos exclusivamente em snipes no mesmo bloco em que a carteira recebeu financiamento direto do lançador antes do lançamento. Estas carteiras são responsáveis por lucros substanciais, usam uma obfuscação mínima e representam o subconjunto mais acionável da atividade maliciosa. Estudá-las oferece uma visão clara sobre as heurísticas necessárias para detetar e mitigar estratégias de extração mais avançadas.

Resultados

Concentrando-se especificamente em snipes no mesmo bloco onde a carteira de sniping tinha um link de transferência SOL direto para o deployer, nossa investigação descobriu um padrão de coordenação on-chain generalizado, estruturado e altamente lucrativo. Embora este filtro capture apenas um subconjunto de toda a atividade de sniping, revela vários padrões-chave deste subconjunto de alta confiança. Todos os dados desta seção refletem a atividade observada entre 15 de março e o presente.

1. O Sniping Financiado pelo Implementador no Mesmo Bloco é Comum e Sistemático

Identificamos mais de 15.000 tokens onde o lançamento foi imediatamente 'sniped' por uma carteira que tinha trocado diretamente SOL com o deployer antes do lançamento ao longo do último mês. Este padrão:

• Envolvidas 4.600+ carteiras de atirador
• Foi executado por mais de 10.400 implementadores únicos

Estes não são incidentes isolados — este comportamento representa cerca de 1,75% da atividade de lançamento empump.fun.

2. Este Comportamento É Lucrativo em Escala

Carteiras envolvidas em sniping financiado pelo deployer, extraíram mais de 15.000 SOL em lucro líquido realizado no último mês, com base na atividade de troca rastreada on-chain. Essas carteiras demonstraram consistentemente altas taxas de sucesso (87% das trocas de tokens foram lucrativas), execução limpa com transações falhadas mínimas e faixas de lucro normalmente entre 1–100 SOL por carteira — com alguns valores atípicos excedendo 500 SOL.

3. Repetir implantadores e atiradores apontam para redes de agricultura

• Muitos implementadores criaram dezenas a centenas de tokens usando carteiras novas
• Certas carteiras de franco-atiradores executaram centenas de snipes, muitas vezes dentro de um único dia
• Observamos estruturas de hub-and-spoke, onde uma carteira financiou várias carteiras de sniper que todas agiram no mesmo token

Isso sugere a presença de operações de cultivo de várias carteiras construídas para simular a demanda inicial distribuída, enquanto retém o controle centralizado e o lucro.

4. O sniping segue padrões de tempo centrados no ser humano

Uma análise por horário revelou que a atividade de sniping está concentrada entre as 14:00 e as 23:00 UTC, com pouca atividade das 00:00 às 08:00 UTC.

Este padrão:

• Alinha-se com o horário de trabalho dos EUA
• Sugere que os bots são lançados manualmente ou cronometrados
• Refirma que esta é uma operação centralizada e deliberada.

5. Carteiras de Única Utilização e Transações com Múltiplos Assinantes Ocultam a Propriedade (Exemplo do Implementador)

Encontrámos vários casos em que:

• Os implementadores financiaram várias carteiras que todas assinaram e sniparam na mesma transação
• Estas carteiras nunca assinaram outra transação novamente (carteiras temporárias)
• Os implementadores dividem as compras iniciais de tokens entre 2-4 carteiras para simular a demanda real

Estes padrões revelam obfuscação deliberada de propriedade, não negociação.

Comportamento de saída

Baseando-se nos resultados principais em torno do financiamento do deployer e do sniping no mesmo bloco, procurámos compreender melhor como é que estas carteiras realmente saem das suas posições uma vez que os tokens são adquiridos. Embora identificar quem faz sniping e quando é crítico, compreender por quanto tempo os tokens são mantidos e com que agressividade são vendidos acrescenta uma camada mais rica de contexto aos mecanismos desta estratégia extrativa.

Para fazer isto, dividimos os dados ao longo de duas dimensões comportamentais:

• Tempo de Saída: A duração entre a primeira compra de token de uma carteira (snipe) e a sua venda final desse token.
• Contagem de Troca: O número de transações de venda distintas (trocas) que uma carteira usou para sair da posição.

Em conjunto, essas métricas dão-nos uma perceção tanto do apetite ao risco das carteiras sniper como da complexidade das suas estratégias de execução. Estas carteiras estão a despejar tudo numa única transação? Estão a sair de forma faseada ao longo do tempo? E como é que cada abordagem afeta a rentabilidade?

O que os Dados Mostram

Velocidade de Saída:

Mais de 55% dos snipes são totalmente saídos em menos de um minuto, e quase 85% são saídos dentro de cinco minutos.

• Uma parte significativa — mais de 11% — é concluída em 15 segundos ou menos.

Vender Evento Simplicidade:

Em mais de 90% dos casos, as carteiras de sniper vendem seus tokens em apenas um ou dois eventos de troca.

Muito poucas carteiras usam saídas graduais ou estratégias de venda escalonadas.

• Carteiras com um maior número de swaps geralmente veem lucros ligeiramente mais altos.

Tendências de Rentabilidade:

O grupo mais lucrativo de longe são as carteiras que saem em menos de um minuto, seguidas daquelas que saem em menos de cinco.

• Embora snipes mais longos e mais ativos - aqueles que envolvem durações de espera prolongadas ou múltiplos eventos de venda - tendam a mostrar uma rentabilidade média mais alta por evento, são usados muito menos frequentemente. Como resultado, contribuem apenas com uma pequena parte do lucro total extraído.

Como Interpretamos

Estes padrões apontam para uma estratégia altamente automatizada e extrativa. A maioria das carteiras ligadas ao deployer não está a comportar-se como traders ou mesmo participantes especulativos. Em vez disso, comportam-se como bots de execução:

• Entrar primeiro.
• Vender rápido.
• Sair completamente.

O facto de a maioria das saídas ocorrer numa única transação sugere uma intenção mínima de interagir com a ação do preço ou com a dinâmica do mercado. Estas carteiras não estão a testar máximos, a fazer médias ou a adaptar-se à volatilidade - estão a antecipar a procura e a descarregar nela o mais rapidamente possível.

Embora um punhado de carteiras mostrem um comportamento de saída mais complexo - usando várias vendas ou períodos de retenção mais longos - seus retornos são apenas marginalmente melhores e representam uma parcela muito pequena da atividade. Estes são as exceções, não o modelo.

No final, os dados pintam um quadro claro: o sniping financiado pelo deployer não se trata de negociação - trata-se de extração automatizada e de baixo risco. Quanto mais rápida for a saída, maior será a taxa de sucesso. Este comportamento de saída reforça a ideia de que o sniping no mesmo bloco não é apenas oportunista; é arquitetado para velocidade, precisão e lucro.

Ideias Acionáveis

As seguintes recomendações foram elaboradas para ajudar as equipas de protocolo, construtores de frontend e investigadores a identificar e responder a padrões de lançamentos de tokens extrativos ou coordenados. Ao traduzir comportamentos observados em heurísticas, filtros e avisos, essas perceções podem reduzir o risco e melhorar a transparência para os utilizadores finais.

Exibir Comportamento Inicial da Curva de Vinculação

A maioria dos painéis de tokens foca na concentração atual de detentores, mas alguns dos sinais de risco mais claros surgem nos primeiros 20-50 blocos de negociação. Quando um pequeno número de carteiras compra a maior parte do fornecimento no início, sai rapidamente e ainda mantém uma participação dominante, aponta para um lançamento estruturalmente extrativo. Em vez de sinalizar tokens diretamente, as interfaces devem destacar métricas da fase inicial que ajudem os traders a construir intuição: total de SOL comprado nos primeiros 10 blocos, Jito e taxas de prioridade pagas para licitar, percentagem do volume pelos principais x carteiras e o saldo atual desses primeiros atiradores. Ao destacar a agrupação de base de custo, comportamento comprimido do livro de ordens e padrões de saída - sem necessidade de atribuição - Nas interfaces de aplicativo, essas heurísticas permitem que os usuários identifiquem quando algo está errado antes de se tornar liquidez de saída.

Marcação de risco com base no comportamento da carteira e na estrutura de lançamento

Os frontends devem adotar um sistema de rotulagem de risco escalonado que reflete tanto o comportamento anterior da carteira quanto a dinâmica suspeita de lançamento, ajudando os usuários a evitar se tornarem liquidez de saída.

Indicadores de Risco Rígidos para Reincidentes

Carteiras com um histórico de ataque no mesmo bloco, especialmente quando ligadas aos implementadores através de fluxos de financiamento diretos ou multi-hop, devem ter um marcador persistente de alto risco. Se essas carteiras interagirem com um novo token, o frontend deve exibir um aviso forte que é difícil de ignorar (por exemplo, confirmação modal, desativado por padrão). Estas são carteiras que repetidamente extrairam valor dos utilizadores em múltiplos lançamentos e não devem ser tratadas como participantes limpos.

Avisos Suaves para Sinais Vermelhos Estruturais

Os tokens que exibem sniping de primeiro bloco, alta concentração inicial de detentores ou comportamento comprimido no livro de ordens inicial (por exemplo, 50% do volume nos primeiros 10 blocos, as 3 carteiras principais detêm 80% do fornecimento) devem receber um rótulo de advertência leve e hoverable. Os utilizadores podem pairar para ver as heurísticas específicas acionadas (por exemplo, "sniped no mesmo bloco", "carteira principal saiu em menos de 30s", "compras iniciais de carteiras financiadas repetidamente"), dando-lhes contexto antes de tomar uma decisão.

Este sistema não tenta provar intenção maliciosa — sinaliza comportamento repetidamente extrativo

e lançar padrões com ótica de equidade pobre, tornando mais fácil para os utilizadores comuns identificar configurações ruins sem precisar de ler o contrato ou rastrear os fluxos de financiamento eles próprios.

Além do Agrupamento Estático

A rotulagem estática da carteira não é suficiente. Assim que as heurísticas se tornam públicas, os atores maliciosos adaptam-se - rodando as carteiras, imitando o comportamento de varejo e fabricando sinais de legitimidade. Para permanecerem eficazes, os sistemas de deteção devem evoluir para estruturas de marcação adaptativas que se atualizam continuamente à medida que os padrões dos atacantes mudam.

Em vez de rótulos codificados, as carteiras devem ser atribuídas pontuações de confiança comportamental que refletem padrões ao longo do tempo: idade da carteira, atividade entre aplicativos, comportamento de venda anterior, duração da detenção e agrupamento com extratores conhecidos. Essas pontuações devem favorecer as carteiras que incorrem em custos reais para parecer confiáveis—capital, tempo ou profundidade de uso—enquanto penalizam as carteiras que exibem comportamentos extrativos de baixo esforço e alta frequência.

Ao tornar o caminho para a participação "limpa" mais cara e rastreável, as plataformas podem reduzir a viabilidade da exploração de spam em grande escala - mesmo sem atribuição perfeita.

Conclusão

Os resultados deste relatório destacam uma tática persistente, estruturada e lucrativa usada em lançamentos de tokens Solana: sniping financiado pelo implementador no mesmo bloco. Ao rastrear transferências SOL diretas dos implementadores para snipers, isolamos um subconjunto claro de comportamentos no estilo insider que exploram a arquitetura de alto rendimento da Solana para extração coordenada.

Embora a nossa metodologia capte apenas uma parte da atividade total de sniping no mesmo bloco, as carteiras e padrões que ela revela não deixam dúvidas — estes não são traders oportunistas; são operadores com posicionamento privilegiado, sistemas repetíveis e intenção clara. A escala e frequência dessa atividade mostram que a agricultura coordenada de memecoins não é uma tática de nicho — é um manual normalizado, executado milhares de vezes por semana.

Isto é importante por três razões:

• Distorce os sinais iniciais do mercado, fazendo com que os tokens pareçam mais desejáveis ou competitivos do que realmente são.
• Isso coloca em perigo os participantes do varejo, que servem inconscientemente como liquidez de saída para atores pré-financiados.
• Isso mina a confiança nos lançamentos de tokens abertos, especialmente em plataformas comopump.funque são otimizados para velocidade e acessibilidade.

Mitigar este comportamento exigirá mais do que defesas reativas. Exige melhores heurísticas, avisos no frontend, salvaguardas ao nível do protocolo e esforços contínuos para mapear e monitorar atores coordenados. As ferramentas de deteção existem - a questão é se o ecossistema opta por as aplicar.

Este relatório oferece um primeiro passo: um filtro fiável e reprodutível que isola os casos mais evidentes de coordenação. Mas é apenas o começo. O verdadeiro desafio reside em detetar estratégias obfuscadas e em evolução — e em construir uma cultura on-chain que recompensa a transparência em detrimento da extração.

Aviso legal:

1. Este artigo é reproduzido a partir de [GatePine Analytics]. Todos os direitos autorais pertencem ao autor original [Pine Analytics]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles lidarão com isso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente as do autor e não constituem qualquer conselho de investimento.
3. A equipa Gate Learn faz traduções do artigo para outras línguas. Copiar, distribuir ou plagiar os artigos traduzidos é proibido, a menos que seja mencionado.